第四章 2018 年战略 3.0 - XDR

4.1 战略背景

2015 年 11 月，亚信科技收购趋势科技中国成立了亚信安全，趋势科技中国的产品、市场、营销等体系全部并入亚信安全，高级威胁治理战略也随之成为亚信安全的核心战略之一，继续在新的平台上不断演化，并于 2018 年发布了演化的高级威胁治理战略 3.0 - XDR。 战略 3.0 提出 XDR 有两个背景：

1. 在 2015 年趋势科技战略 2.0 中，高级威胁治理主要产品支撑体系已准备就绪，借助趋势科技的产品和核心技术，新一代 EDR 产品（CTDI，DDES 的下一代产品）也完成了研发和市场发布，这些产品有别于传统阻断型产品（防火墙、IPS、EPP 等），并在新兴的高级威胁对抗领域中发挥着传统产品无法替代的作用，正当我们发愁如何命名这些高级威胁检测和响应产品体系时，2017 年老东家趋势科技在业内首次提出了 “XDR” 的概念。
2. XDR 是威胁的 “点、线、面、体” 从 “检测”“分析” 到 “响应” 的完整过程，它由三部分构成：XDR 点线面体方法论支撑、EDR/NDR 产品支撑及 MDR 服务支撑、SOAR 精密编排的 “检测”“分析”“响应” 过程支撑。由于亚信安全 XDR 产品线均已齐备，故 2018 年战略 3.0 - XDR 的发布主要以安全运营为视角，简述如何通过 SOAR 将 XDR“检测”“分析”“响应” 有序编排起来，实现高级威胁治理战略的落地。

4.2 XDR 方法论

前面第一章 1.5 小结介绍过 “点线面体” 威胁分层描述模型，用结构化的方式描述威胁的构成，如下如：

那么接下来这张图就进一步阐述哪些技术用于检测哪些层面的威胁问题，即威胁分层检测分析模型：

威胁分层描述模型和威胁分层检测分析模型一起构成了 XDR 点线面体方法论。

注释：XDR方法论模型于2017年提出，2019年我来到某数字公司后，发现国内XDR产品大多还处于概念或者产品原型阶段，很多公司甚至不清楚如何定义XDR产品，因此，在2020年初，又增补了XDR在“检测”“分析”“响应”方面的详细阐述和说明，并把这部分作为战略4.0中的XDR 2.0的升级，我们下文再展开介绍。

4.3 体系支撑

4.3.1 体系三：SOAR 精密编排的自动化检测和响应体系-XDR

2018 年高级威胁治理战略 3.0 - XDR 的提出，可以说是战略 2.0 中有关 “全面的威胁联动治理体系 - Better Together，SOAR 1.0” 的进一步细化和落地。那么战略 2.0 落地过程到底遇到了哪些问题？为什么提出 XDR 体系？XDR 体系究竟是如何解决这些问题的？以下部分将进行详述。

4.3.1.1 规划 2.0 落地过程遇到的挑战

如何将 “一个中心，四个过程” 的高级威胁治理战略和用户的安全运营相结合成为战略 2.0 落地过程中遇到的最大的挑战。

1. 在 “监控” 过程中，用户如何监控全面的威胁态势？如何监控每个过程的运行状态？如何将这部分能力和用户现有的 SIEM/SOC/态势紧密整合？
2. 在 “检测” 过程中，各种检测产品发出海量的告警信息，用户如何及时处置越来越多的告警？如何避免越来越多的人工干预的场景？
3. 在 “分析” 过程中，用户如何判断威胁的真实性？如何确认威胁的本质和攻击者的意图？如何回溯攻击场景，评估威胁的严重性、影响和范围？
4. 在 “响应” 过程中，用户如何制定响应预案及工作流？如何提供下一步威胁响应策略？如何提高自动化响应的能力？
5. 在 “预防” 过程中，用户如何制定高效的预防机制？如何自我评估风险？有哪些可主动预防的方法、技术和手段？ 受限于用户安全领域专业技能的缺乏，流程自动化程度不高，以及配套的工具支撑不够完善，以上每个环节的问题都可能被无限放大，最终导致规划落地困难重重。为解决这些问题，我们有必要先熟悉一下安全运营的演化过程，了解用户所处的阶段，知道各阶段用户所需的能力，这样才能做出符合用户安全运营要求的规划落地方案。

4.3.1.2 演化的安全运营

4.3.1.2.1 安全运营演化的四个阶段

从安全运营的发展历史、现状、以及今后的发展方向来看，安全运营的演化大体上划分为四个阶段：

1. “阻断” 阶段（初期阶段，2010 年之前）

这个阶段用户安全运营大多采用策略、规则及黑白名单等措施，防范已知威胁，常用技术手段包括抗 DDoS、防火墙、IPS、Web 网关、邮件网关、防病毒、WAF、身份认证、ACL、网闸、SOC、审计等；

1. “发现” 阶段（进阶阶段，2010 年至今）

这个阶段用户安全运营开始借助行为分析、机器学习、大数据、关联分析等能力，发现可疑威胁，常用技术手段包括威胁情报、沙箱、EDR、NDR、NTA、UEBA、回溯扫描、大数据、机器学习、态势感知等；

1. “响应” 阶段（高级阶段，2017 年至今）

这个阶段用户安全运营主要以快速恢复补救（Resilience）为主要目标，常用技术手段包括响应预案、自动化编排、案件管理、验伤和调查取证等；

注释：如果不是几天前的RSAC大会，估计很多人还不知道“Resilience”这个词，早在2017年，我的时任领导童宁就已关注并倡导“Resilience”，给出了安全视角的解释“快速恢复补救”，并提出了高级威胁防御的最后防线：快速恢复补救体系 - Resilience（体系4 – Resilience 1.0），在后文有详细介绍。

1. “预测” 阶段（智能阶段，未知）

这个阶段用户的安全运营将以风险评估和主动预防为主，相关技术手段也会围绕着两个目标展开，现在谈该阶段还为时过早，所以这部分暂且放置不表。

4.3.1.2.2 四个阶段成熟度及能力鸿沟

从上图中我们看到，超过 90% 的用户完成了 “阻断” 阶段的安全运营建设，大约 60% 的用户着手 “发现” 阶段的安全运营建设，但只有不足 5% 的用户具备有限的 “响应” 阶段的安全运营能力。我们不难发现，从 “发现” 阶段到 “响应” 阶段，事实上存在着一条巨大的安全运营 “能力鸿沟”。正是这条能力鸿沟，致使规划的落地遭遇了现实的瓶颈。

注释：以上描述写于2018年，当时具备高级威胁检测能力的用户并不多，具备响应能力的用户就更少，得益于连续几年的HVV活动，极大促进了高级威胁检测和响应领域的建设，提升了应对高级威胁的安全运营能力。

4.3.1.2.3 从” 发现 “到” 响应 “的能力构成

那么，我们不妨先研究一下，从 “发现” 到 “响应” 到底需要怎样的能力构成？到底是哪些关键能力的缺失影响了用户的安全运营？

大量成功的实践告诉我们，从 “发现” 到 “响应” 包括以下四个步骤的能力构成：

1. “告警受理”

来自各类检测工具的威胁告警通常会汇集到用户的态势/SIEM/SOC 平台，然后以工单的方式派发出来，接下来就是 “告警受理” 这个步骤，这个步骤包括两部分内容：告警降噪、去重、聚合，初步分类和优先级划分，也就是告警的预处理；

1. “定性分析”，即 “验伤，Triage”

验伤原意是战场上迅速判断伤员的伤势，这里指判断攻击的真实性，确认攻击的本质和攻击者的意图；

1. “定量分析”，即 “取证，Forensics”

回溯攻击场景、评估攻击的严重性、影响和范围；

1. “响应与结案”

根据响应脚本，制定、下发、执行响应策略，完成修复补救和结果反馈，最后结案归档。

以上过程需借助 EDR、NDR、威胁情报、沙箱、ATT&CK 等相关产品和工具，以及 MDR 检测和响应安全专家服务，执行自动化告警预处理、验伤和取证、以及制定和执行响应策略等具体工作内容，整个过程还需要案件管理、响应预案、自动化精密编排等流程作为保障，把这些内容放在一起，构成了 SOAR。

4.3.1.2.4 什么是 SOAR？

2017 年 Gartner 提出了精密编排的自动化响应 SOAR 模型（Security Orchestration，Automation and Response），并且提出将安全产品以及安全流程链接和整合起来，通过预定义的工作流（Work flow）和工作脚本（Playbook）来标准化事件调查处置流程，提升威胁响应的自动化程度和执行效率。这些内容现在已是老生常谈，不再赘述。

4.3.1.2.5 为什么呼吁 SOAR？

SOAR 为应急响应和案件处理带来的好处不言而喻：

1. 缩短应急处置安全事故的时间
2. 减少和优化传统 SOC 中不必要和冗余的工作
3. 安全产品整合的 API 加速了自动化
4. 丰富的安全数据服务：威胁情报平台 TIP
5. 提高告警分析的质量和检测发现能力
6. 提高工作精准度，安全运维流程的文档化以及证据的管理
7. 减少培训新安全运维分析人员的代价
8. 整体提高衡量和管理安全运维的能力

注释：这里需要补充的是SOAR的发展现状。从2017年Gartner提出SOAR到今天，我们看到SOAR在安全运营领域得到了广泛的应用。从产品形态上看，有的作为SIEM、SOC或态势的组件，有的作为独立产品；从功能侧重上，也划分成了两类：一类侧重专家分析（分析阶段），一类侧重自动化响应（响应阶段），后者目前成熟产品比较多，相较而言侧重专家分析的SOAR相对较少，尤其是能够支撑自动化验伤取证的SOAR并不多，原因在于把专家分析过程自动化需要大量的事件样本的模式化，个人认为这将是XDR领域未来需要进一步提升的技术难点之一，当然这也是MDR高级安全专家服务被广为接受的另一个原因。

4.3.1.3 XDR 体系构成

为突出从 “检测”“分析” 到 “响应” 整个过程的核心能力，我们将 EDR、NDR、MDR 和 SOAR 所构成的精密编排的自动化检测和响应体系定义为 XDR，即战略 3.0 的核心。

4.3.1.3.1 XDR 技术螺旋矩阵模型

前面介绍过，威胁治理模型包括 “检测、分析、响应、预防” 四个阶段，威胁描述模型包括 “点、线、面、体” 四个层次，那么，如果我们把这两个模型叠加起来，就会形成一个螺旋矩阵，如果将每个矩阵空格所对应的关键技术标注起来，就构成了” XDR 技术螺旋矩阵模型”，如下图所示：

4.3.1.3.2 XDR 产品螺旋矩阵模型

同样，上述模型如果对应到相关产品品类上，就构成了 “XDR 产品螺旋矩阵模型”，如下图所示：

4.3.1.3.3 XDR 核心业务逻辑及工作流程

产品螺旋矩阵模型从结构上阐述了高级威胁治理战略相关产品的定位以及相互之间的静态关系。下图则描述了 XDR 的核心业务逻辑及工作流程：

4.3.1.3.4 亚信安全 XDR 产品方案

基于以上 XDR 产品逻辑关系及工作流编排，2018 年亚信安全高级威胁治理战略 3.0 - XDR 产品方案如下图所示：

4.3.2 体系四：高级威胁防御的最后防线：快速恢复补救体系 - Resilience（体系 4 – Resilience 1.0）

关于弹性（Resilience），每个人有自己的理解和认识，在不同领域不同场景下会有很多具象化的形式，我理解的弹性（Resilience）有三个角度：

1. IT 视角：如何适应新的 IT 场景需求和 IT 基础架构变化，IT 如何支撑业务的快速发布和迭代
2. 安全视角：如何提升安全运营的自动化能力，快速检测和响应新型威胁
3. 业务视角：如何提升业务弹性，提升持续在线的服务能力 2018 年战略 3.0 提出快速恢复补救体系 - Resilience（体系 4 – Resilience 1.0）有以下两个原因：
4. 威胁不断在演化，如何让高级威胁检测和响应整套体系和架构更加适应威胁的演化？如何在新型威胁到来之时可以快速完成从检测到响应的整个流程？
5. “没有攻不破的系统” 已经成为每个高级威胁治理参与者的共识。当系统被攻破，被损坏，需要花费一个月、一个星期、一天？还是一小时、一分钟、一秒钟来恢复业务？如何在最短的时间内快速完成业务恢复补救，并正常提供服务，这就是业务弹性。 受制于当时的技术和产品的成熟度，战略 3.0 主要还是从安全视角，提出 SOAR 精密编排的自动化检测和响应 XDR 体系框架，针对各类新型威胁快速完成恢复补救

注释：随着技术的进步，最近一两年终于看到了基于业务弹性的产品和解决方案，当业务或数据遭到破坏时，可以在秒级至分钟级实现业务和数据的快速恢复，甚至提供了强大的业务多活能力，让同一个业务同时在多个数据中心提供在线服务，如果其中一个业务实例被破坏，其他业务实例仍然会在线提供服务，丝毫不会受到影响，正如孙悟空的分身术一样，极大提升了业务的在线弹性，这部分内容我会另外行文介绍。

4.3.3 体系五：基于资产和脆弱性的风险评估管理体系（体系 5 – RAM）

2019 年 RSAC 创新沙盒比赛，Axonius 公司的 “资产管理” 异军突起，给高级威胁治理中如何规划和践行 “预防” 过程提供了借鉴思路，由此启发补充了 “基于资产和脆弱性的风险评估管理体系（体系 5 - RAM）“，并作为战略 3.0 的又一个补充。 “预防” 是高级威胁治理的 “风险管控系统”。较之前面的三个过程，该过程相对独立，顾名思义，该过程包括了 “预测（Prediction）”、“预警（Precaution）” 和 “预防（Prevention）” 三方面内容。 “预测” 是通过大数据分析、机器学习、AI、关联分析、统计学分析、模式分析、UEBA 分析等技术发现新的威胁特征、威胁活动、威胁事件，以及威胁发展趋势，具备威胁感知和预测能力，做到提前预测；“预警” 是对即将产生的风险进行灾难评估、提出并采取风险缓解和风险消除的措施，如 0 Day 或 1 Day 漏洞管理；“预防” 是为防止攻击者发现、破坏或窃取企业的信息资产，用户需要通过相关技术手段做好资产摸排，摸清家底，了解要保护的对象，是高级威胁防御的第一步，知彼知己方能百战百胜。因此,“资产管理” 是这个阶段所重点涉及的内容之一，“资产管理” 不仅仅是针对网络设备、主机、终端以及安全产品的管理，更重要的是针对 “核心信息资产” 的管理。另外，“风险评估” 是这个阶段需要重要关注的另一方面内容，“风险” 意味着黑客入侵或攻击一个目标的可能性，正确和全面的做好风险评估，可有利于加固自身安全建设，减少目标被攻击的概率，提高攻击者的攻击复杂度，也可以让用户对自身的安全状况有更明确的认识，并为进一步安全建设提供方向和策略。

4.3.3.1 体系构成

基于资产和脆弱性的风险评估管理体系通常由三部分内容构成：

1. 资产发现及识别 资产划分有多种方式和维度，按访问区域可分为内网资产和外网资产（企业暴露面资产），按视角又可划分为 IT 资产、业务资产、数据资产等，还可划分为动态资产和静态资产，一个资产可以同时拥有多个属性，需要根据不同的属性给与标签标记，以及分级分类，同时还要标记资产之间的关联关系。
2. 脆弱发现及识别 针对资产的漏洞众测、漏洞扫描、弱口令和弱配置扫描是资产脆弱性扫描常见形式。在 2020 年又增加了攻击视角的脆弱发现及识别，包括渗透测试（自动化渗透测试和人工渗透测试）、入侵攻击模拟、实网攻防演习等（体系 6 – 实网攻防体系， Cyber Range），资产脆弱性和攻击脆弱性这两部分共同构成了持续评估体系（体系 7 – Continuous Assessment），下一章会专门论述。
3. 基于资产和脆弱性的风险评估及管理 当用户获取了完整的上述两方面信息之后，可以综合更多因素建立相关的风险评估模型，给出风险重要性和优先级，并根据修补建议进一步完成修复补救措施，减少和避免被黑客利用的可能，达到主动预防的效果。

综上，已经把高级威胁治理战略 2.0 和 3.0 的主要内容还原了一番，其中包括了两个方法论和七个支撑体系，以及若干分析模型，接下来再通过两篇文章为大家继续阐述 2020 年 “演化的高级威胁治理战略 4.0 – All In” 的完整内容。 最后，谨以此文致谢从趋势科技到亚信安全一路予以帮助和支持的老领导童宁，他是国内 XDR 和 Resilience 最早的理念提出者和战略规划者，同时也感谢趋势科技赋予的行业和时代前瞻性，让我更早接触和深入这个领域。（未完待续）

转载声明

本文转载链接：https://mp.weixin.qq.com/s/-CUzDKO4QWJ9Sc8OXu4OUw